将日志路由到支持的目的地

本文档介绍了如何创建和管理接收器,以将源自 Google Cloud 项目的日志条目路由到受支持的目标位置。

如果接收器的目标位置不是日志条目来源 Google Cloud 项目中的日志存储桶,则需要使用服务账号。Cloud Logging 会自动创建和管理此服务账号;不过,您可能需要修改向该服务账号授予的权限。您可以创建和管理一个服务账号,供多个项目中的接收器使用。如需了解详情,请参阅使用用户代管式服务账号配置日志回流

概览

Sinks决定 Cloud Logging 路由日志条目的方式。通过接收器,您可以将部分或全部日志条目路由到以下目标位置:

  • Cloud Logging 存储桶:在 Cloud Logging 中提供存储空间。日志桶可以存储多个 Google Cloud 项目收到的日志条目。日志存储桶可以位于日志条目来源的项目中,也可以位于其他项目中。如需了解如何查看存储在日志存储分区中的日志条目,请参阅查询和查看日志概览以及查看路由到 Cloud Logging 存储分区的日志

    您可以通过以下方式将 Cloud Logging 数据与其他数据组合:升级日志存储桶以使用 Log Analytics,然后创建关联的数据集(这是一个只读数据集,可通过 BigQuery StudioLooker Studio 页面进行查询)。

  • BigQuery 数据集:在可写入的 BigQuery 数据集中提供日志条目的存储空间。BigQuery 数据集可以位于日志条目来源的项目中,也可以位于其他项目中。您可以对存储的日志条目使用大数据分析功能。如需了解如何查看路由到 BigQuery 的日志条目,请参阅查看路由到 BigQuery 的日志

  • Cloud Storage 存储桶:在 Cloud Storage 中提供日志条目的存储空间。Cloud Storage 存储桶可以位于日志条目来源的项目中,也可以位于其他项目中。日志条目存储为 JSON 文件。如需了解如何查看转送到 Cloud Storage 的日志条目,请参阅查看转送到 Cloud Storage 的日志

  • Pub/Sub 主题:提供对第三方集成的支持。日志条目会转换为 JSON 格式,然后路由到 Pub/Sub 主题。主题可以位于日志条目来源的项目中,也可以位于其他项目中。如需了解如何查看路由到 Pub/Sub 的日志条目,请参阅查看路由到 Pub/Sub 的日志

  • Google Cloud 项目:将日志条目路由到另一个 Google Cloud 项目。在此配置中,目标项目中的接收器会处理日志条目。

接收器属于给定的 Google Cloud 资源:Google Cloud 项目、结算账号、文件夹或组织。当资源收到日志条目时,资源中的每个接收器都会处理该日志条目。当日志条目与接收器的过滤条件匹配时,系统会将该日志条目路由到接收器的目标位置。

通常,接收器只会路由源自资源的日志条目。不过,对于文件夹和组织,您可以创建汇总接收器,用于路由来自文件夹或组织以及其包含的资源的日志条目。本文档不讨论汇总接收器。如需了解详情,请参阅整理组织级日志并将其路由到支持的目标位置

如需创建和管理接收器,您可以使用 Google Cloud 控制台、Cloud Logging API 和 Google Cloud CLI。我们建议您使用 Google Cloud 控制台:

  • 日志路由器页面会列出所有接收器,并提供用于管理接收器的选项。
  • 创建接收器时,您可以预览接收器的过滤条件所匹配的日志条目。
  • 您可以在创建接收器时配置接收器目的地。
  • 系统会为您完成一些授权步骤。

准备工作

本文档中的说明介绍了如何在 Google Cloud 项目级层创建和管理接收器。您可以使用相同的步骤创建一个接收器,以路由来自组织、文件夹或结算账号的日志条目。

如需开始使用,请执行以下操作:

  1. Enable the Cloud Logging API.

    Enable the API

  2. 确保您的 Google Cloud 项目包含您可以在 Logs Explorer 中查看的日志条目。

  3. 如需获得创建、修改或删除接收器所需的权限,请让您的管理员为您授予项目的 Logs Configuration Writer (roles/logging.configWriter) IAM 角色。 如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

    您也可以通过自定义角色或其他预定义角色来获取所需的权限。

    如需了解如何授予 IAM 角色,请参阅 Logging 访问权限控制指南

  4. 您在受支持的目标位置中拥有资源,或者能够创建资源。

    如需将日志条目路由到目标,目标必须先存在,然后您才能创建接收器。您可以在任何组织中的任何 Google Cloud 项目中创建目标位置。

  5. 在创建接收器之前,请先查看适用于接收器目标位置的限制。如需了解详情,请参阅本文档中的目标平台限制部分。

  6. Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    如需在本地开发环境中使用本页面上的 REST API 示例,请使用您提供给 gcloud CLI 的凭据。

      Install the Google Cloud CLI, then initialize it by running the following command: 

      gcloud init

    如需了解详情,请参阅 Google Cloud 身份验证文档中的使用 REST 时进行身份验证

创建接收器

以下是在 Google Cloud 项目中创建接收器的说明。您可以使用相同的流程来路由源自组织、文件夹或结算账号的日志条目:

  • 每个 Google Cloud 项目最多可以创建 200 个接收器。
  • 请勿在接收器过滤器中放置敏感信息。 Sink 过滤器会被视为服务数据。
  • 指向 Cloud Storage 存储分区的新接收器可能需要数小时才能开始路由日志条目。Cloud Storage 的接收器每小时执行一次处理,而其他目标类型会实时进行处理。

  • Sink 无法将日志条目路由到关联的 BigQuery 数据集(这些数据集是只读的)。如果您想将日志条目路由到 BigQuery,则目标数据集必须启用写入功能。

  • 接收器不会为 BigQuery 数据集定义架构。而是由 BigQuery 收到的第一个日志条目决定目标表的架构。如需了解详情,请参阅路由日志的 BigQuery 架构

  • 如需了解如何查看接收器目标位置中的日志条目,请参阅查看路由到 Cloud Logging 存储分区的日志

  • 如需查看路由的日志条目的数量和容量,请查看 logging.googleapis.com/exports/ 指标

  • 如果查询包含多个语句,您可以指定这些语句的联接方式,也可以依赖于 Cloud Logging 在语句之间隐式添加析取运算限制 AND。例如,假设查询或过滤条件对话框包含两个语句,resource.type = "gce_instance"severity >= "ERROR"。实际查询为 resource.type = "gce_instance" AND severity >= "ERROR"。Cloud Logging 同时支持析取运算限制 OR 和联接运算限制 AND。使用 OR 语句时,我们建议您使用圆括号对子句进行分组。如需了解详情,请参阅 Logging 查询语言

要创建接收器,请执行以下操作:

控制台

  1. 在 Google Cloud 控制台中,转到日志路由器页面:

    前往日志路由器

    如果您使用搜索栏查找此页面,请选择子标题为 Logging 的结果。

  2. 选择您要将日志条目路由到的 Google Cloud 项目。

    例如,如果您想将数据访问日志条目从名为 Project-A 的项目路由到名为 Project-B 的项目中的日志存储桶,请选择 Project-A

  3. 选择创建接收器

  4. 接收器详情面板中,输入以下详细信息:

    • 接收器名称:提供接收器的标识符。请注意,创建接收器后,您无法重命名接收器,但可以将其删除并创建新的接收器。

    • 接收器说明(可选):描述接收器的用途或使用场景。

  5. 接收器目标位置面板中,使用选择接收器服务菜单选择接收器服务和目标位置。执行以下任一操作:

    • 如需将日志条目路由到同一 Google Cloud 项目中的服务,请选择以下选项之一:

      • BigQuery 数据集:选择或创建用于接收路由日志条目的可写数据集。您还可以选择使用分区表
      • Cloud Storage 存储桶:选择或创建用于接收路由日志条目的特定 Cloud Storage 存储桶。
      • Pub/Sub 主题:选择或创建用于接收路由日志条目的特定主题。
      • Splunk:为您的 Splunk 服务选择 Pub/Sub 主题。

    • 如需将日志条目路由到其他 Google Cloud 项目,请选择 Google Cloud 项目,然后输入目标的完全限定名称。如需了解语法,请参阅目标路径格式

    • 如需将日志条目路由到位于其他 Google Cloud 项目中的服务,请执行以下操作:

      1. 选择其他资源
      2. 输入目标的完全限定名称。如需了解语法,请参阅目标路径格式

  6. 指定要包含的日志条目:

    1. 前往选择要包含在接收器中的日志面板。

    2. 构建包含项过滤条件字段中,输入与要包含的日志条目匹配的过滤条件表达式。如需详细了解编写过滤条件的语法,请参阅 Logging 查询语言

      如果您不设置过滤条件,来自所选资源的所有日志条目都会路由到目标位置。

      例如,如需将所有数据访问日志条目路由到 Logging 存储桶,您可以使用以下过滤条件:

      log_id("cloudaudit.googleapis.com/data_access") OR log_id("externalaudit.googleapis.com/data_access")

      过滤条件的长度不能超过 20,000 个字符。

    3. 要验证您输入的过滤条件是否正确,请选择预览日志。日志浏览器会在新标签页中打开,其中预填充了过滤条件。

  7. (可选)配置排除过滤条件以排除部分包含的日志条目:

    1. 前往选择要从接收器中过滤掉的日志面板。

    2. 排除项过滤条件名称字段中输入名称。

    3. 构建排除项过滤条件部分,输入与要排除的日志条目匹配的过滤条件表达式。您还可以使用 sample 函数选择要排除的日志条目。

    您最多可以为每个接收器创建 50 个排除过滤器。请注意,过滤条件的长度不能超过 20000 个字符。

  8. 选择创建接收器

  9. 向接收器的服务账号授予向接收器目标位置写入日志条目的权限。如需了解详情,请参阅设置目标位置权限

gcloud

要创建接收器,请执行以下操作:

  1. 运行以下 gcloud logging sinks create 命令:

    gcloud logging sinks create SINK_NAME SINK_DESTINATION

    在运行命令之前,请先进行以下替换:

    • SINK_NAME:日志接收器的名称。数据流接收器一经创建便无法更改其名称。

    • SINK_DESTINATION:您希望将日志条目路由到的服务或项目。使用适当的路径设置 SINK_DESTINATION,如目标路径格式中所述。

      例如,如果您的接收器目标位置是 Pub/Sub 主题,则 SINK_DESTINATION 如下所示:

      pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID

    您还可以提供以下选项:

    • --log-filter:使用此选项可设置与要包含在接收器中的日志条目匹配的过滤条件。如果您未为包含项过滤条件提供值,则此过滤条件将与所有日志条目匹配。
    • --exclusion:使用此选项可设置要从接收器中排除的日志条目的排除过滤器。您还可以使用 sample 函数选择要排除的日志条目。此选项可以重复;您最多可以为每个接收器创建 50 个排除过滤器。
    • --description:使用此选项来描述接收器的用途或用例。

    例如,如需创建 Logging 存储桶的接收器,您的命令可能如下所示:

    gcloud logging sinks create my-sink logging.googleapis.com/projects/myproject123/locations/global/buckets/my-bucket \
 --log-filter='logName="projects/myproject123/logs/matched"' --description="My first sink"

    如需详细了解如何使用 Google Cloud CLI 创建接收器,请参阅 gcloud logging sinks 参考文档。

  2. 如果命令响应包含标记为 "writerIdentity" 的 JSON 密钥,请向接收器的服务账号授予写入接收器目标位置的权限。如需了解详情,请参阅设置目标位置权限

    如果响应不包含标记为 "writerIdentity" 的 JSON 键,则无需设置目标位置权限。

REST

  1. 如需在 Google Cloud 项目中创建日志记录接收器,请使用 Logging API 中的 projects.sinks.create。在 LogSink 对象中,在方法请求正文中提供适当的必需值:

    • name:接收器的标识符。请注意,创建接收器后,您无法重命名接收器,但可以删除它并创建新的接收器。

    • destination:您希望将日志条目路由到的服务和目标位置。如需将日志条目路由到其他项目,或路由到其他项目中的目标位置,请使用适当的路径设置 destination 字段,如目标路径格式中所述。

      例如,如果您的接收器目标位置是 Pub/Sub 主题,则 destination 如下所示:

      pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID

  2. LogSink 对象中,提供适当的可选信息:

    • filter:设置 filter 字段,使其与要包含在接收器中的日志条目匹配。如果您不设置过滤条件,则来自 Google Cloud 项目的所有日志条目都会路由到目标位置。请注意,过滤条件的长度不能超过 20000 个字符。
    • exclusions:设置此字段以匹配要从接收器中排除的日志条目。您还可以使用 sample 函数选择要排除的日志条目。您最多可以为每个接收器创建 50 个排除过滤器。
    • description:设置此字段,以描述接收器的用途或用例。

  3. 调用 projects.sinks.create 以创建接收器。

  4. 如果 API 响应包含标记为 "writerIdentity" 的 JSON 密钥,请向接收器的服务账号授予写入接收器目标位置的权限。如需了解详情,请参阅设置目标位置权限

    如果 API 响应不包含标记为 "writerIdentity" 的 JSON 键,则您无需设置目标位置权限。

如需详细了解如何使用 Logging API 创建接收器,请参阅 LogSink 参考。

如果您收到错误通知,请参阅路由和接收器问题排查

目标路径格式

如果您将日志条目路由到其他项目中的服务,则必须向接收器提供该服务的完全限定名称。同样,如果您将日志条目路由到其他 Google Cloud 项目,则必须向接收器提供目标项目的全限定名称:

  • Cloud Logging 日志存储桶:

    logging.googleapis.com/projects/DESTINATION_PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME

  • 另一个 Google Cloud 项目:

    logging.googleapis.com/projects/DESTINATION_PROJECT_ID

  • BigQuery 数据集:

    bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID

  • Cloud Storage:

    storage.googleapis.com/BUCKET_NAME

  • Pub/Sub 主题:

    pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID

管理接收器

创建接收器后,您可以针对它们执行以下操作。 对接收器所做的任何更改可能需要几分钟才能应用:

  • 查看详情
  • 更新

  • 停用

    • 您无法停用 _Required 接收器。
    • 您可以停用 _Default 接收器,以停止将日志条目路由到 _Default Logging 存储桶。
    • 如果您想为组织中创建的任何新 Google Cloud 项目或文件夹停用 _Default 接收器,请考虑配置默认资源设置

  • 删除

    • 您无法删除 _Default_Required 接收器。
    • 删除接收器后,它将不再路由日志条目。
    • 如果接收器有专用服务账号,则删除该接收器也会删除该服务账号。2023 年 5 月 22 日之前创建的接收器具有专用服务账号。2023 年 5 月 22 日当天或之后创建的接收器具有共享服务账号。删除接收器不会删除共享的服务账号。

  • 排查失败问题

  • 查看日志量和错误率

以下是在 Google Cloud 项目中管理接收器的说明。您可以指定结算账号、文件夹或组织,而不是 Google Cloud 项目:

控制台

  1. 在 Google Cloud 控制台中,转到日志路由器页面:

    前往日志路由器

    如果您使用搜索栏查找此页面,请选择子标题为 Logging 的结果。

  2. 在工具栏中,选择包含接收器的资源。资源可以是项目、文件夹、组织或结算账号。

日志路由器页面会显示所选资源中的接收器。表中每一行都包含接收器属性的相关信息:

  • 已启用:指示是启用还是停用接收器的状态。
  • 类型:接收器的目标服务,例如 Cloud Logging bucket
  • 名称:接收器的标识符,在创建接收器时提供,例如 _Default
  • 说明:接收器的说明,在创建接收器时提供。
  • 目标位置:要将路由的日志条目发送到的目标位置的全名。
  • 已创建:创建接收器的日期和时间。
  • 上次更新时间:上次修改接收器的日期和时间。

对于每行表格, 更多操作菜单提供以下选项:

  • 查看接收器详情:显示接收器的名称、说明、服务、目标位置、包含过滤器和排除过滤器。选择修改后,系统会打开修改接收器面板。
  • 修改接收器:打开修改接收器面板,您可在其中更改接收器的参数。
  • 停用接收器:允许您停用接收器并停止将日志条目路由到接收器的目标位置。如需详细了解如何停用接收器,请参阅停止在日志存储分区中存储日志
  • 启用接收器:用于启用已停用的接收器,并重新开始将日志条目路由到接收器的目标位置。
  • 删除接收器:允许您删除接收器,并停止将日志条目路由到接收器的目标位置。
  • 排查接收器问题:打开日志浏览器,您可以在其中排查接收器错误。
  • 查看接收器日志量和错误率:打开 Metrics Explorer,您可以在其中查看和分析来自接收器的数据。

如需按某个列对表格进行排序,请选择该列的名称。

gcloud

  • 如需查看您的 Google Cloud 项目的接收器列表,请使用 gcloud logging sinks list 命令,它对应于 Logging API 方法 projects.sinks.list

    gcloud logging sinks list

    如需查看汇总接收器列表,请使用适当的选项指定包含接收器的资源。例如,如果您在组织级层创建接收器,请使用 --organization=ORGANIZATION_ID 选项列出组织的接收器。

  • 如需描述接收器,请使用 gcloud logging sinks describe 命令,它对应于 Logging API 方法 projects.sinks.get

    gcloud logging sinks describe SINK_NAME

  • 如需更新接收器,请使用 gcloud logging sinks update 命令,它对应于 API 方法 projects.sink.update

    您可更新接收器以更改目标位置、过滤条件和说明,或者停用或重新启用接收器:

    gcloud logging sinks update SINK_NAME NEW_DESTINATION --log-filter=NEW_FILTER

    如果这些部分未更改,请省略 NEW_DESTINATION--log-filter

    例如,要将名为 my-project-sink 的接收器的目标位置更新为名为 my-second-gcs-bucket 的新 Cloud Storage 存储桶目标位置,您的命令如下所示:

    gcloud logging sinks update  my-project-sink storage.googleapis.com/my-second-gcs-bucket

  • 如需停用接收器,请使用与 API 方法 projects.sink.update 相对应的 gcloud logging sinks update 命令,并添加 --disabled 选项:

    gcloud logging sinks update SINK_NAME --disabled

    如需重新启用接收器,请使用 gcloud logging sinks update 命令、移除 --disabled 选项并添加 --no-disabled 选项:

    gcloud logging sinks update SINK_NAME --no-disabled

  • 如需删除接收器,请使用 gcloud logging sinks delete 命令,它对应于 API 方法 projects.sinks.delete

    gcloud logging sinks delete SINK_NAME

    如需详细了解如何使用 Google Cloud CLI 管理接收器,请参阅 gcloud logging sinks 参考文档。

REST

  • 如需查看 Google Cloud 项目的接收器,请调用 projects.sinks.list

  • 如需查看接收器的详细信息,请调用 projects.sinks.get

  • 如需更新接收器,请调用 projects.sink.update

    您可以更新接收器的目标位置、过滤条件和说明。您还可以停用或重新启用接收器。

  • 如需停用接收器,请将 LogSink 对象中的 disabled 字段设置为 true,然后调用 projects.sink.update

    如需重新启用接收器,请将 LogSink 对象中的 disabled 字段设置为 false,然后调用 projects.sink.update

  • 要删除接收器,请调用 projects.sinks.delete

    如需详细了解如何使用 Logging API 管理接收器,请参阅 LogSink 参考文档。

停止在日志存储分区中存储日志条目

您可以停用 _Default 接收器和任何用户定义的接收器。停用接收器后,接收器会停止将日志条目路由到其目标位置。例如,如果您停用 _Default 接收器,则系统不会将任何日志条目路由到 _Default 存储桶。当之前存储的所有日志条目都已达到存储桶的保留期限时,_Default 存储桶会变为空。

以下说明介绍了如何停用将日志条目路由到 _Default 日志存储分区的 Google Cloud 项目接收器:

控制台

  1. 在 Google Cloud 控制台中,转到日志路由器页面:

    前往日志路由器

    如果您使用搜索栏查找此页面,请选择子标题为 Logging 的结果。

  2. 如需查找将日志条目路由到 _Default 日志存储桶的所有接收器,请按目标位置过滤接收器,然后输入 _Default

  3. 对于每个接收器,依次选择 Menu(菜单),然后选择 Disable sink(停用接收器)。

    接收器现已停用,您的 Google Cloud 项目接收器不会再将日志条目路由到 _Default 存储桶。

如需重新启用已停用的接收器,并重新开始将日志条目路由到接收器的目标位置,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到日志路由器页面:

    前往日志路由器

    如果您使用搜索栏查找此页面,请选择子标题为 Logging 的结果。

  2. 如需查找将日志条目路由到 _Default 日志存储桶的所有接收器,请按目标位置过滤接收器,然后输入 _Default
  3. 对于每个接收器,依次选择 Menu(菜单),然后选择 Enable sink(启用接收器)。

gcloud

  1. 如需查看您的 Google Cloud 项目的接收器列表,请使用 gcloud logging sinks list 命令,它对应于 Logging API 方法 projects.sinks.list

    gcloud logging sinks list

  2. 确定路由到 _Default 日志存储桶的任何接收器。如需描述接收器(包括查看目标位置名称),请使用 gcloud logging sinks describe 命令,它对应于 Logging API 方法 projects.sinks.get

    gcloud logging sinks describe SINK_NAME

  3. 运行 gcloud logging sinks update 命令并添加 --disabled 选项。例如,如需停用 _Default 接收器,请使用以下命令:

    gcloud logging sinks update _Default  --disabled

    _Default 接收器现已停用,它不再将日志条目路由到 _Default 日志存储桶。

如需停用 Google Cloud 项目中路由到 _Default 存储桶的其他接收器,请重复前面的步骤。

如需重新启用接收器,请使用 gcloud logging sinks update 命令、移除 --disabled 选项并添加 --no-disabled 选项:

gcloud logging sinks update _Default  --no-disabled

REST

  1. 如需查看 Google Cloud 项目的接收器,请调用 Logging API 方法 projects.sinks.list

    确定路由到 _Default 存储桶的任何接收器。

  2. 例如,如需停用 _Default 接收器,请将 LogSink 对象中的 disabled 字段设置为 true,然后调用 projects.sink.update

    _Default 接收器现已停用,它不再将日志条目路由到 _Default 存储桶。

如需停用 Google Cloud 项目中路由到 _Default 存储桶的其他接收器,请重复前面的步骤。

如需重新启用接收器,请将 LogSink 对象中的 disabled 字段设置为 false,然后调用 projects.sink.update

设置目标位置权限

本部分介绍如何向 Logging 授予将日志条目写入接收器目标位置的 Identity and Access Management 权限。如需查看 Logging 角色和权限的完整列表,请参阅访问权限控制

创建接收器时,Cloud Logging 会为资源创建一个共享服务账号,除非所需的服务账号已存在。之所以存在该服务账号,是因为底层资源中的所有接收器都使用了同一服务账号。资源可以是 Google Cloud 项目、组织、文件夹或结算账号。

数据流的写入者身份是与该数据流关联的服务账号的标识符。所有接收器都有写入器身份,但写入日志条目来源同一 Google Cloud 项目中的日志存储桶的接收器除外。对于后一种配置,不需要服务账号,因此接收器的写入方身份字段在控制台中列为 None。API 和 Google Cloud CLI 命令不会报告写入器身份。

以下说明适用于项目、文件夹、组织和结算账号:

控制台

  1. 确保您对包含目标位置的 Google Cloud 项目拥有 Owner 访问权限。如果您没有对接收器目标位置的 Owner 访问权限,请让项目所有者将写入者身份添加为正文。

  2. 如需从新接收器获取接收器的写入者身份(电子邮件地址),请执行以下操作:

    1. 在 Google Cloud 控制台中,转到日志路由器页面:

      前往日志路由器

      如果您使用搜索栏查找此页面,请选择子标题为 Logging 的结果。

    2. 在工具栏中,选择包含接收器的项目。
    3. 选择 Menu,然后选择 View sink details。写入者身份会显示在接收器详情面板中。

  3. 如果 writerIdentity 字段的值包含电子邮件地址,请继续执行下一步。当值为 None 时,您无需为接收器配置目标位置权限。

  4. 将接收器的写入者身份复制到剪贴板。

  5. 如果目标是其他项目中的服务,或者是其他项目,请在工具栏中选择目标项目。

  6. 在目标项目中将服务账号添加为 IAM 正文:

    1. 在 Google Cloud 控制台中,进入 IAM 页面:

      前往 IAM

      如果您使用搜索栏查找此页面,请选择子标题为 IAM 和管理的结果。

    2. 选择目标项目。

    3. 点击 授予访问权限

    4. 向服务账号授予所需的 IAM 角色:

      • 对于 Cloud Storage 目标位置,请使用 IAM 将接收器的写入者身份添加为正文,然后为其授予 Storage Object Creator 角色 (roles/storage.objectCreator)。
      • 对于 BigQuery 目标位置,请使用 IAM 将接收器的写入者身份添加为正文,然后为其授予 BigQuery Data Editor 角色 (roles/bigquery.dataEditor)。
      • 对于 Pub/Sub 目的地(包括 Splunk),请使用 IAM 将接收器的写入者身份添加为正文,然后为其授予 Pub/Sub Publisher 角色 (roles/pubsub.publisher)。
      • 对于不同 Google Cloud 项目中的 Logging 存储桶目标位置,请使用 IAM 将接收器的写入者身份添加为正文,然后为其授予“日志存储桶写入者”角色 (roles/logging.bucketWriter)。
      • 对于 Google Cloud 项目目的地,请使用 IAM 将接收器的写入者身份添加为正文,然后向其授予 Logs Writer 角色 (roles/logging.logWriter)。具体而言,正文需要拥有 logging.logEntries.route 权限。

gcloud

  1. 确保您对包含目标位置的 Google Cloud 项目拥有 Owner 访问权限。如果您没有对接收器目标位置的 Owner 访问权限,请让项目所有者将写入者身份添加为正文。

  2. 从接收器中的 writerIdentity 字段获取服务账号:

    gcloud logging sinks describe SINK_NAME

  3. 找到您要修改权限的接收器,如果接收器详情包含包含 writerIdentity 的一行,请继续执行下一步。如果详细信息不包含 writerIdentity 字段,则无需为接收器配置目标位置权限。

    服务账号的写入者身份类似于以下内容:

    serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com

  4. 在目标项目中将服务账号添加为 IAM 正文:

    在使用以下命令之前,请先进行以下替换:

    • PROJECT_ID:项目的标识符。
    • PRINCIPAL:您要授予该角色的主账号的标识符。主账号标识符通常采用以下格式:PRINCIPAL-TYPE:ID。例如 user:my-user@example.com。 如需查看 PRINCIPAL 可采用的格式的完整列表,请参阅主账号标识符

    • ROLE:IAM 角色。

      • 对于 Cloud Storage 目标位置,请使用 IAM 将接收器的写入者身份添加为正文,然后为其授予 Storage Object Creator 角色 (roles/storage.objectCreator)。
      • 对于 BigQuery 目标位置,请使用 IAM 将接收器的写入者身份添加为正文,然后为其授予 BigQuery Data Editor 角色 (roles/bigquery.dataEditor)。
      • 对于 Pub/Sub 目的地(包括 Splunk),请使用 IAM 将接收器的写入者身份添加为正文,然后为其授予 Pub/Sub Publisher 角色 (roles/pubsub.publisher)。
      • 对于不同 Google Cloud 项目中的 Logging 存储桶目标位置,请使用 IAM 将接收器的写入者身份添加为正文,然后为其授予“日志存储桶写入者”角色 (roles/logging.bucketWriter)。
      • 对于 Google Cloud 项目目的地,请使用 IAM 将接收器的写入者身份添加为正文,然后向其授予 Logs Writer 角色 (roles/logging.logWriter)。具体而言,正文需要拥有 logging.logEntries.route 权限。

    执行 gcloud projects add-iam-policy-binding 命令:

    gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role=ROLE

REST

我们建议您使用 Google Cloud 控制台或 Google Cloud CLI 向服务账号授予角色。

目标平台限制

本部分介绍了特定于目标平台的限制:

  • 如果您将日志条目路由到其他 Google Cloud 项目中的日志存储桶,则 Error Reporting 不会分析这些日志条目。如需了解详情,请参阅 Error Reporting 概览
  • 如果您将日志条目路由到 BigQuery,则 BigQuery 数据集必须启用写入权限。您无法将日志条目路由到只读的关联数据集。

  • 将日志条目路由到其他 Google Cloud 项目时,存在以下限制:

    • 跃点数上限为 1。

      例如,如果您将日志条目从项目 A 路由到项目 B,则无法将日志条目从项目 B 路由到其他项目。

    • 审核日志未路由到目标项目中的 _Required 日志存储桶。

      例如,如果您将日志条目从项目 A 路由到项目 B,则项目 A 中的 _Required 日志存储桶将包含项目 A 的审核日志。项目 A 的审核日志未路由到项目 B。如需路由这些日志条目,请创建一个目的地为日志存储桶的接收器。

    • 如果目标项目位于其他文件夹或组织中,则该文件夹或组织中的汇总接收器不会路由日志条目。

      例如,假设项目 A 位于文件夹 X 中。当日志条目源自项目 A 时,该日志条目会由文件夹 X 中的汇总接收器和项目 A 中的接收器进行处理。现在假设项目 A 包含一个接收器,该接收器会将其日志条目路由到位于文件夹 Y 中的项目 B。项目 A 中的日志条目会通过项目 B 中的接收器;但不会通过文件夹 Y 中的汇总接收器。

  • 如需使用日志浏览器查看通过汇总接收器路由到项目的日志条目,请将优化范围字段设置为存储范围,然后选择可访问这些日志条目的日志视图。

代码示例

如需使用客户端库代码配置您所选语言的接收器,请参阅 Logging 客户端库:日志接收器

过滤条件示例

下面是一些在创建接收器时特别有用的过滤条件示例。如需了解在构建包含过滤器和排除过滤器时可能有用的其他示例,请参阅查询示例

恢复 _Default 接收器过滤条件

如果您修改了 _Default 接收器的过滤条件,则可能需要将此接收器恢复为其原始配置。创建后,_Default 接收器会配置以下包含项过滤条件和一个空的排除项过滤条件:

  NOT log_id("cloudaudit.googleapis.com/activity") AND NOT \
  log_id("externalaudit.googleapis.com/activity") AND NOT \
  log_id("cloudaudit.googleapis.com/system_event") AND NOT \
  log_id("externalaudit.googleapis.com/system_event") AND NOT \
  log_id("cloudaudit.googleapis.com/access_transparency") AND NOT \
  log_id("externalaudit.googleapis.com/access_transparency")

排除 Google Kubernetes Engine 容器和 pod 日志

如需排除 GKE 系统 namespaces 的 Google Kubernetes Engine 容器和 pod 日志条目,请使用以下过滤条件:

resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")

如需排除 GKE 系统 logNames 的 Google Kubernetes Engine 节点日志条目,请使用以下过滤条件:

resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")

如需查看存储在日志分桶中的 Google Kubernetes Engine 节点、pod 和容器日志条目的数量,请使用 Metrics Explorer:

排除支持性不需要的 Dataflow 日志

如需排除支持性不需要的 Dataflow 日志条目,请使用以下过滤条件:

resource.type="dataflow_step"
labels."dataflow.googleapis.com/log_type"!="system" AND labels."dataflow.googleapis.com/log_type"!="supportability"

如需查看存储在日志分区中的 Dataflow 日志量,请使用 Metrics Explorer。

可支持性

虽然 Cloud Logging 允许您排除日志条目并阻止其存储在日志存储桶中,但您可能需要考虑保留有助于支持日志的日志条目。使用这些日志条目可以帮助您排查和确定应用的问题。

例如,GKE 系统日志条目对于排查 GKE 应用和集群问题非常有用,因为它们是针对集群中发生的事件生成的。这些日志条目可帮助您确定是应用代码还是底层 GKE 集群导致了应用错误。GKE 系统日志还包括由 Kubernetes API 服务器组件生成的 Kubernetes 审核日志,其中包括使用 kubectl 命令和 Kubernetes 事件所做的更改。

对于 Dataflow,建议您至少将系统日志 (labels."dataflow.googleapis.com/log_type"="system") 和支持日志 (labels."dataflow.googleapis.com/log_type"="supportability") 写入日志存储分区。这些日志对于开发者观察其 Dataflow 流水线和进行问题排查至关重要,用户可能无法使用 Dataflow 作业详情页面查看作业日志。

后续步骤